Развёрнут изолированный ЦС, т.е. не в сети, под Win2003. Основная задача решаемая сертификатами - подключение клиентов по веб-интерфейсу (https) к почтовому серверу. Сертификаты почтовым серверам выдаются по запросам сформированным самими серверами, а для клиентов генерятся непосредственно в ЦС, на основе предоставляемых идент. данных (имя пользователя, название офиса и т.д.) Каждый сертификат имеет свой срок действия. А как продлевать такие сертификаты? Это можно делать заранее или нужно ждать когда срок закончится?

На сколько я помню у сертификата есть срок действия и период обновления. Этот самый период обновления задается на четверть мньше срока действия. Ну к примеру срок действия сертификата 100 дней срок обновления 60. Это значит что через 60 дней клиент начнет пытаться обновить свой сертификат - автоматически. Если все правильно настроено, то ваши клиенты должны сами обновлять сертификаты.

ваши клиенты должны сами обновлять сертификаты » А то что ЦС не в сети, т.е. почтовым серверам и клиентам он недоступен, имеет значение? Думаю, сервера точно должны мне что-то сформировать, типа запроса на продление. Или ошибаюсь? Каков всё-таки механизм продления сертификатов клиентов, серверов?

Вообще то клиент должен отправлять запрос на обновление сертификата. В вашем случаи, если сервер не подключен к сети, нужно будет руками создать запрос на получение сертификата - во внешний файл, после этого доностить этот файл до цс. И с ЦС подтверждать запрос на этот сертификат. И потом так же обратно.

Но это слишко жестоко - я бы сделал немного по другому все таки бы подключил сервак к сети все равно офлайновый ЦС не умеет автоматически выдавать сертификаты админ должен самостоятельно подтверждать запросы.

Можно еще пойти другим способом - клиент может одновременно работать сразу с 2мя сертификатами. Если вы например выдаете сертификат на 100 дней, по по истичению например 60 дней генерировать клиенту 2й сертификат и отсылать ему, чтобы тот устанавливал новый.

Т.е. продления сертификата как такого нет, получается что просто генерю новый сертификат?

Смена сертификатов только на почтовых серверах проходит незаметно для клиентов или они также должны совершить какие-то телодвижения?

Продление сертификатов есть. Только я не уверен можно ли генерировать запрос о продлении во внешний файл. Зпрос нового сертификата и подтверждение от ЦС через внешний файл точно есть. Сам такое делал. К сожалению сейчас не на чем попробовать. Виртуалки все дома остались.

Самого заинтерисовало - сегодня посмотрю завтра отпишусь.

Можете на форумы MS сходить. Интересно что там ответят?

Самого заинтерисовало - сегодня посмотрю завтра отпишусь. » Спасибо, буду ожидать.

Vi-P, вчера толком не удалось посмотреть - моя мадам грохнула все мои виртуалки :). Но скорее всего в такой ситуации вам придется прибегнуть к помощи утилиты коммандной строки certreq.

Понял.
Форумчане, а ещё мнения, советы есть?

мадам грохнула все мои виртуалки »
Мадам жива? :)

Oleg Krylov, спасибо за заботу - жива :)